Microsoft blijft accounts blokkeren zonder uitleg, ondanks nieuwe regels

In februari gaat Mariëlle den Hengst met haar gezin op vakantie naar Sri Lanka. Omdat ze daar niet altijd internet heeft, bewaart ze de tickets, paspoortnummers en informatie over het visum in OneDrive. De documenten zijn dan ook offline beschikbaar in de opslagdienst van Microsoft.

Tijdens haar vakantie verschijnt de melding dat haar account 'aandacht vereist'. Mariëlle moet zich opnieuw aanmelden om het probleem op te lossen, maar kan in de tussentijd nog wel bij haar reisdocumenten. Daar kijk ik thuis wel even rustig naar, denkt ze.

Terug in Nederland vult ze een formulier in om haar account te ontgrendelen. Ze geeft de informatie die Microsoft van haar vraagt, voor zover dat kan. Zonder succes: op 21 februari hoort ze dat het automatische systeem onvoldoende informatie heeft om haar account te ontgrendelen.

'Nu ben ik alles kwijt'

Mariëlle probeert het nog een keer. En nog een keer. Tot ze twee dagen later bericht krijgt: "Microsoft heeft de toegang tot het account ontzegd vanwege een ernstige schending van de Microsoft-serviceovereenkomst". Er staat niet bij wat ze precies misdaan zou hebben. Alleen een verwijzing naar de gedragscode. Daarin staan tien regels die niet overtreden mogen worden.

"Ik schrok me rot", zegt Mariëlle tegen RTL Nieuws. "Ik wil aantonen dat ik de rechtmatige eigenaar ben. En opeens zou ik de gedragscode hebben overtreden. Ik bewaar van alles op OneDrive: foto's en video's, de financiële administratie, maar ook artikelen die ik schrijf. Nu ben ik alles kwijt", dacht ik.

Mariëlle is niet de eerste die dit overkomt. De afgelopen jaren heeft Microsoft honderden mensen zonder uitleg uit hun account gezet, berichtte RTL Nieuws in 2022. Gedupeerden raken van alles kwijt en weten niet waarom. Vaak wordt dat pas duidelijk als ze naar de rechter stappen.

In 2022 beloofde Microsoft beterschap door zich te gaan houden aan nieuwe Europese regels. Die stellen dat Microsoft 'een duidelijke en specifieke motivering' moet geven voor het opschorten van OneDrive-accounts.

Experts: 'Microsoft overtreedt regels'

Die regels uit de Verordening digitale diensten (beter bekend onder de Engelse afkorting DSA van Digital Services Act) gelden sinds 17 februari. Dat is vier dagen vóór Mariëlle te horen kreeg dat ze de gedragscode geschonden zou hebben, zonder dat Microsoft duidelijk maakte om welke regel het ging.

Simpelweg verwijzen naar de gedragscode zonder concreet te worden is niet 'duidelijk en specifiek', en dus overtreedt Microsoft de DSA, zegt Paddy Leerssen, onderzoeker en DSA-expert aan de Universiteit van Amsterdam. Hij bekeek Mariëlles zaak op verzoek van RTL Nieuws.

Andere DSA-deskundigen zijn het met hem eens. "Dit is inderdaad niet heel specifiek", zegt Pieter Wolters van de Radboud Universiteit. "De DSA schrijft ook voor dat Microsoft zorgvuldig moet handhaven. Daar is geen sprake van als je zonder enige uitleg uit je account wordt gezet."

"Zulke algemene verwijzingen naar de voorwaarden voldoen duidelijk niet aan de DSA", zegt Inge Graef van de Tilburg University. "Het bedrijf moet motiveren waarom een account geblokkeerd wordt. Als gebruiker moet je kunnen begrijpen waarom het besluit is genomen en een inschatting kunnen maken of dit om de juiste redenen is geweest."

Microsoft wil alleen reageren via een korte verklaring. Daarin weerspreekt het bedrijf niet dat het de DSA overtreedt. "We werken samen met regelgevende instanties en andere belangrijke belanghebbenden aan onze aanpak van digitale veiligheid en naleving van de DSA", zegt het bedrijf.

Het Europese hoofdkantoor van Microsoft staat in Ierland. De DSA-toezichthouder daar bevestigt het contact. "We zijn het gesprek aangegaan met Microsoft over hun verantwoordelijkheden", laat een woordvoerder weten.

Dat gesprek gaat specifiek over het artikel in de DSA dat stelt dat Microsoft 'een duidelijke en specifieke motivering' moet geven voor het opheffen van OneDrive-accounts.

Hoop dat toezichthouder optreedt

In Nederland wordt de Autoriteit Consument & Markt toezichthouder voor de DSA. Wie niet direct naar de rechter wil stappen om zijn account terug te krijgen, kan daar een melding doen.

Maar het is de vraag of de toezichthouder optreedt. Dit onderwerp heeft niet specifiek de aandacht, laat een woordvoerder weten.

Bovendien zit de autoriteit in een grijs gebied wat betreft de nieuwe Europese regels. De toezichthouder kan wel signalen registreren, maar op dit moment nog geen onderzoek openen of handhaven. Dat komt doordat de Nederlandse wet daarvoor niet op tijd klaar was.

Een van de personen die hoopt dat de toezichthouder wel in actie komt, is Danny (niet zijn echte naam). Hij deed in 2020 al een melding nadat hij zonder specifieke reden uit zijn account werd gezet.

Daardoor kon hij geen gebruik meer maken van Hotmail, Skype en Office 365. Ook waren honderden gigabytes aan foto's, video's en andere bestanden in OneDrive ontoegankelijk. "Opeens kon ik niet meer bij het foto- en videoarchief van mijn gezin, waaronder babyfoto's van de kinderen."

Oproep

Heb jij tips over of ervaring met hoe Microsoft, Google, Apple of andere grote internetbedrijven te werk gaan? Stuur dan vertrouwelijk een e-mail naar stan.hulsen@rtl.nl met je verhaal en contactgegevens.

Ernstige beschuldiging

Danny liet het er niet bij zitten. Hij schakelde begin 2023 een advocaat in. Pas toen kreeg hij te horen wat de reden zou zijn geweest: Microsoft zou beelden van kindermisbruik hebben gedetecteerd. Omdat Danny elke link met kindermisbruik ver van zich wil houden, wil hij zijn verhaal niet onder zijn echte naam doen.

Waar de beschuldiging vandaan komt, weet hij niet. "Ik weet absoluut zeker dat er geen sprake kan zijn van kinderpornografisch materiaal. Misschien was het een naaktfoto van mijn toenmalige partner? Het probleem is: ik kan niet bewijzen dat het niet zo is, want ik kan niet meer bij mijn data."

Het is niet de eerste keer dat Microsoft deze beschuldiging uit. Eerder deed Mark zijn verhaal bij RTL Nieuws. Ook hij kreeg te horen dat hij naaktbeelden van minderjarigen op zijn OneDrive had opgeslagen. In de rechtszaal bleek dat een foto van zijn 19-jarige vriendin. De rechter oordeelde dat Microsoft het account moest teruggeven.

In Danny's geval gebeurde er iets opvallends. Hoewel Microsoft schijnbaar kindermisbruikbeelden aantrof, is het bedrijf direct bereid om 'uit coulance' het account terug te geven.

"Blijkbaar is Microsoft niet zeker van zijn zaak", concludeert Danny. "Bij zo'n ernstige beschuldiging heeft Microsoft het recht om mijn account geblokkeerd te houden. Toch geven ze mijn account terug. Dat is een zwaktebod. Sterker nog: waarom stap je niet naar de politie? Waarom start je geen zaak tegen mij?"

Een paar weken later kan Danny weer inloggen, maar bijna 300 GB aan familiefoto's en andere bestanden is weg. "Het voelt alsof twintig jaar geschiedenis van me is afgepakt."

Bestanden uit handen geven

Mariëlle en Danny willen hetzelfde door hun verhaal te doen: mensen waarschuwen. "We bewaren allerlei bestanden die we niet kwijt willen", zegt Mariëlle. "Eerst deed ik dat op een harde schijf. Later heb je meer opslagruimte nodig, dus neem je er nog een. Dan koop je er een extra, die je ergens anders bewaart."

"Tot je op een gegeven moment denkt: we gaan back-uppen in de cloud. Want daar kun je altijd bij. Maar ik heb er nooit bij stilgestaan dat het bedrijf dat cloudopslag levert, je account kan afsluiten. Je bewaart het daar zodat je je data niet meer kan verliezen. Maar zo raak je ze alsnog kwijt."

"Mijn data krijg ik niet meer terug", zegt Danny. "Maar ik wil wel andere mensen waarschuwen. Het bedrijf belooft dat het je data veilig bewaart, maar blijkbaar is dat niet het geval."

Microsoft zegt in zijn algemene reactie dat het bedrijf accounts kan opschorten 'om mensen online te beschermen en ervoor te zorgen dat we de wet naleven'. "We nemen deze beslissingen zorgvuldig, stellen gebruikers op de hoogte en bieden mensen een proces om in beroep te gaan." Het bedrijf wilde niet aanvullend reageren op vragen van RTL Nieuws.

Twee back-ups

De verhalen van Mariëlle, Danny en andere gedupeerden die RTL Nieuws sprak geven een wijze les: bewaar een back-up niet op één plek, maar op meerdere locaties. Bedrijven kunnen je afsluiten van je digitale opslagruimte, maar je fysieke opslagschijf kan het ook begeven. Gebeurt het ene, dan heb je altijd nog het andere.

Mariëlle dacht dat ze alles kwijt was. "Maar door de stress die dat met zich meebracht, was ik helemaal vergeten dat ik regelmatig ook een back-up maak op een harde schijf. De laatste was van november, dus ik was uiteindelijk maar een paar dingen kwijt."